前段时间,发现香港客户的网站上被人挂马了,告诉他后,他让我去帮他处理;他的网页放在香港服务器上,进入服务器后,发现他服务器上什么编辑软件都没装,想看到网页的源码只能用记事本打开,这样一来,要清除所有的木马,就只能用记事本一个个打开,再用眼睛去一个一个扫描了.
在处理木马的过程当中我发现并不是所有的页面都被人挂马,被挂马的页面都是有一定的规律可循的.那就是与页面的命名有关.总结了一下(应该是通过某软件注入的),页面文件的命名中只要包含有:index,top,head,foot,bottom,config,count,conn,default;只要是名称里面包含有这些的,都被挂马了.
还有就是有些木马伪装成图片文件,很多杀毒都检测不出来的.你可以找到图片文件夹,在上面的查看处选择缩略图,发现呈现黑色的,用记事本打开看一下,木马文件会有很多的网页代码在里面,这些一般都是经过加密的JS文件.
以上只是我个人的一点经验.......
在处理木马的过程当中我发现并不是所有的页面都被人挂马,被挂马的页面都是有一定的规律可循的.那就是与页面的命名有关.总结了一下(应该是通过某软件注入的),页面文件的命名中只要包含有:index,top,head,foot,bottom,config,count,conn,default;只要是名称里面包含有这些的,都被挂马了.
还有就是有些木马伪装成图片文件,很多杀毒都检测不出来的.你可以找到图片文件夹,在上面的查看处选择缩略图,发现呈现黑色的,用记事本打开看一下,木马文件会有很多的网页代码在里面,这些一般都是经过加密的JS文件.
以上只是我个人的一点经验.......
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货